ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Политика обработки персональных данных (далее - Политика) разработана во исполнение требований абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее - Закона).
2. Политика разработана в целях обеспечения прозрачного характера обработки персональных данных и определения основных принципов, целей, условий и способов обработки персональных данных, субъектов обработки персональных данных и категорий обрабатываемых персональных данных, прав субъектов персональных данных, а также реализуемых требований к защите персональных данных.
3. Политика действует в отношении всех персональных данных, которые обрабатывает открытое акционерное общество «Строительный трест №20» (далее - Общество).
4. Политика разработана с учетом требований Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
5. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки персональных данных работников и других субъектов персональных данных.
6. Понятия, содержащие в статье 1 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», используются в настоящей политике с аналогичным значением.
Основные термины и их определения, используемые в настоящей Политике:
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- информационный ресурс (система) персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- оператор персональных данных – открытое акционерное общество «Строительный трест №20», включая его структурные подразделения, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных;
- персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц;
- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
- удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Общество осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с обществом в трудовых отношениях.
9. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- обеспечение достоверности обрабатываемых персональных данных, обновления их;
- хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных не дольше, чем этого требуют заявленные цели обработки персональных данных.
- 10. Персональные данные обрабатываются в целях:
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы; - регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль дисциплины труда, количества и качества выполняемой работы, охраны труда, обеспечение сохранности имущества);
- привлечения и отбора кандидатов на работу, обработки информации (резюме) кандидата на трудоустройство;
- предоставления работникам Общества льгот и компенсаций;
- реализации социальной политики Общества в области жилищных отношений, культурно-массовой и физкультурно-оздоровительной работы, предоставления путевок в оздоровительные и санаторно-курортные учреждения, медицинского обслуживания, страхования, питания, предоставления мест в учреждениях дошкольного образования;
- организации и сопровождения деловых поездок;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- защиты жизни, здоровья или иных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с субъектами хозяйствования;
- обеспечения пропускного и внутри объектового режимов на объектах Общества, обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений;
- формирования справочных материалов для обеспечения возможности связи между работниками Общества;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- ведения бухгалтерского и налогового учета;
- осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами, либо достижения общественно значимых целей.
ГЛАВА 3
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Общество может обрабатывать нижеприведенные персональные данные субъектов персональных данных, следующих категорий:
12.1. для лиц, посещающих здания или территорию Общества: - фамилия, имя, отчество;
- данные паспорта или иного документа, удостоверяющего личность;
- фото и видеоизображения, полученные с помощью систем видеонаблюдения, установленных на территории и (или) в зданиях Общества;
12.2. для кандидатов приема на работу:
- фамилия, имя, отчество;
- данные паспорта или иного документа, удостоверяющего личность; пол;
- гражданство;
- дата и место рождения;
- адреса регистрации и проживания; контактные данные;
- предыдущие места работы и занимаемые должности;
- сведения об образовании, специальности, квалификации, повышении квалификации, профессиональных знаниях и навыках, ученой степени и звании;
- сведения о трудовом стаже; семейное положение; воинский учет;
- номер и серия страхового свидетельства государственного социального страхования;
- фото и видеоизображения (в том числе полученные с помощью систем видеонаблюдения, установленных на территории и (или) в зданиях Общества);
- иные персональные данные, сообщаемые кандидатами в резюме и
- сопроводительных письмах;
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- фото и видеоизображения (в том числе полученные с помощью систем видеонаблюдения, установленных на территории и (или) в зданиях Общества);
- паспортные данные;
- адрес регистрации по месту жительства и (или) месту пребывания; контактная информация;
- банковские реквизиты;
- сведения об образовании, специальности, квалификации, повышении квалификации, результатах оценки и аттестации, профессиональных знаниях и навыках, ученой степени и звании;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака; сведения о воинском учете; сведения об инвалидности;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
12.4. для членов семьи работников Общества:
- фамилия, имя, отчество; степень родства;
- дата рождения;
- контактная информация;
- иные персональные данные, предоставляемые ими в соответствии с требованиями законодательства и (или) локальных правовых актов;
12.5. для представителей субъектов хозяйствования, в том числе пребывающих в Общество:
- фамилия, имя, отчество;
- реквизиты документа, удостоверяющего личность; контактные данные;
- занимаемая должность;
- иные персональные данные, предоставляемые представителями субъектов хозяйствования, необходимые для заключения и исполнения договоров.
13. Обществом не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 4
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
14. При обработке персональных данных Общество выполняет, в частности, сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, персональных данных.
15. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.
16. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства.
До получения согласия субъекта персональных данных работник Общества, осуществляющий обработку персональных данных, обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена работником Общества субъекту персональных данных в письменной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
17. Письменное согласие субъекта персональных данных должно включать:
- фамилию, собственное имя, отчество (если таковое имеется); дату рождения;
- идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего личность
- наименование и место нахождения Общества, его филиала (в случае если письменное согласие должно быть предоставлено в филиал);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие; способ его отзыва;
- личную подпись субъекта персональных данных.
18. Без согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
19. В целях внутреннего информационного обеспечения, могут создаваться внутренние справочные материалы, в которые могут включаться фамилия, имя, отчество, место работы, должность, контактная информация субъекта персональных данных.
ГЛАВА 5
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
20. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных, оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.
21. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки; предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
- уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
22. Субъект персональных данных имеет право:
- в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном главой 8 настоящей Политики. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом и иными законодательными актами;
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения устанавливается Законом;
- требовать от оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Оператор в этом случае, обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных;
- обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
ГЛАВА 6
МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
МЕРЫ, ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
23. Общество, при осуществлении обработки персональных данных принимает следующие меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных:
- выполняет правовые, организационные и технические мероприятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных Общества;
- издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
- осуществляет ознакомление работников Общества, непосредственно выполняющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и производит удаление персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
- предоставляет субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных;
- разъяснеет субъектам персональных данных их права, связанные с обработкой персональных данных;
- получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- при осуществлении автоматизированной обработки персональных данных, осуществляет техническую и криптографическую защиту персональных данных, в информационных ресурсах (системах), содержащих персональные данные;
- обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к настоящей Политике;
ГЛАВА 7
ПОРЯДОК ПОДАЧИ СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЗАЯВЛЕНИЙ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ИХ ПРАВ
ПОРЯДОК ПОДАЧИ СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЗАЯВЛЕНИЙ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ИХ ПРАВ
24. Субъект персональных данных для реализации своих прав имеет право подать Обществу заявление в письменной форме.
25. Заявление субъекта персональных данных должно содержать: фамилию, собственное имя, отчество (если таковое имеется);
- адрес места жительства (места пребывания); дату рождения;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований;
- личную подпись.
ГЛАВА 8
КОНТРОЛЬ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
КОНТРОЛЬ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
26. Контроль за соблюдением структурными подразделениями требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Общества законодательству Республики Беларусь и локальным правовым актам в области персональных данных, в том числе требованиям к защите персональных данных, а также принятым мерам, направленным на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявление возможных каналов утечки и несанкционированного доступа к персональным данным, устранение последствий таких нарушений.
27. Внутренний контроль за соблюдением структурными подразделениями Общества законодательства Республики Беларусь и локальных правовых актов Общества в области защиты персональных данных, в том числе требований к защите персональных данных, осуществляется ответственным за осуществление внутреннего контроля за обработкой персональных данных в Обществе, определяемым приказом генерального директора Общества.
28. Лица, виновные в нарушении законодательства Республики Беларусь, локальных правовых актов в области персональных данных, несут ответственность, предусмотренную законодательством Республики Беларусь.